DevSecOps:安全运营不可或缺的实践(一)
一、DevSecOps诞生的背景
互联网上的安全问题日趋严重,例如2017年11月22日,Uber承认2016年被黑客窃取司机及用户数据;信息技术快速发展,随着软件产品的开发,生命周期越往后,由安全问题引发的修复成本成倍数增长。
二、DevSecOps的基础概念
DevSecOps首次被提出在2017年RSA大会,并历经多年发展:
2017RSA:明确DevSecOps实践主体内容,提出左移安全前置的思想;
2018RSA:首提“Golden Pipeline”概念,强调自动化工具链支撑;
2019RSA:聚焦文化融合与实践效果度量;
2020RSA:聚焦组织内部DevSecOps转型,强调人的因素;
2021RSA:认为软件质量是DevSecOps成功的必要条件,将其由原来的创造价值和可用推向创造信任和便捷发展;
2022RSA:强调DevSecOps是一种理念和文化,不是单纯的某种技术或产品。
DevSecOps可以被理解为在DevOps上嵌入了安全Security,在DevSecOps网站上的解释:更加安全和快速的开发交付软件。
三、DevSecOps宣言:
四、DevSecOps实际落地三大困难:
对传统开发模式和安全运营模式来说,DevSecOps是一种颠覆式的模式变革,其实践的推动需要CIO从战略高度去推动实施,同时在文化与观念上实现DevSecOps:观念上要改变,不能只有安全相关人对安全负责,必须能让开发团队、运维团队和安全团队认识到每个人都应该对安全负责;
DevSecOps达到初始目标需要实现快速迭代,在开发和运营的过程上,需要高度自动化,开发运维和安全工作的工具和流程需要无缝对接,这对大多数企业来说是一个艰巨的挑战;
DevSecOps的实践需要开发人员、运维人员和安全人员通力合作,能够站在对方视角客观看待问题。具体到开发人员而言,不仅仅需要开发技能还要对运维及安全有所了解。对运维人员和开发人员也是一样需要各自扩充不同领域的技能和知识。
五、DevSecOps开发流程体系
除去文化和技能软实力方面的原因,从流程工具层面实现怎样DevSecOps?
在2018年RSA大会上,首次提出了Golden Pipeline的概念,这一概念基于安全工作前移、安全工作和现有工作的无缝对接这两个方面提出的。Golden Pipeline特指一套通过稳定的可落地的安全的方式,自动化地进行应用CI/CD的流水线体系。其中工具链自动化的支撑程度是缩短调度成本、实现快速迭代的关键,为DevSecOps提供了一种便于理解和落地的实现方式,从Golden Pipeline开发流程体系来看,DevSecOps开发安全主要包括Golden-Gate安全门(门禁)、AST应用安全测试、SCA第三方组件成本分析、RASP运行时应用自保护4大关键安全活动。
Golden-Gate安全门(门禁):指有两位以上经验丰富的工程师进行代码评审,通过后代码才可以通过Golden Gate进入真正的Golden Pipeline;
AST应用安全测试:即Application Security Tseting,包括了传统SAST白盒静态应用安全测试、黑盒DST动态应用安全测试以及新一代IAST交互式应用安全测试技术;
SCA第三方组件成本分析:主要针对开源软件以及第三方的软件涉及的源码、模块、框架和库等的安全漏洞分析;
RASP运行时应用自保护:即Runtime Application Self Protection,它将保护程序像疫苗一样注入到应用程序中,与应用程序融为一体,实时检测和阻断安全攻击,使应用程序具备自我保护能力,当应用程序遭受到实际攻击伤害就可以自动对其进行防御;
五、DevSecOps最佳实践
Gartner分析师经过600多次调查总结并给出了10项最佳实践:
- 安全测试工具和过程能够很好地适应开发人员,而不是背道而驰;
- 不要试图在开发过程中消除所有漏洞;
- 首要任务是识别并移除已知的严重漏洞;
- 不要固守传统的静态动态分析方法,应当适应新的变化;
- 培训所有开发人员基本的安全编码知识,但不要期望他们成为安全专家;
- 采用安全捍卫者模型,并实现简单地安全需求收集工具;
- 进入源代码中已知的易受攻击的组件;
- 使用自动化脚本确保并进行操作的规范化;
- 使用强大的版本控制措施管理所有代码和组件;
- 默认的基础架构应当是不可变的
六、DevSecOps工具
另外,在工具方面基于DevSecOps是将安全嵌入到带office的流程阶段中,所以一般来说,DevSecOps的工具主要是基于编码、构建、测试、配置、部署、监控这6个阶段嵌入的。
DevSecOps:安全运营不可或缺的实践(一)相关推荐
- 分享Intel的安全运营中心最佳实践
这是Hack in the box 2005年会上的一个讲解,有1个小时的时间,是IT@Intel团队分享他们的SOC运营的最佳实践的视频.虽然这是2005年的东西,现在看起来依然有参考价值.
- 深入前端研发效能治理:数据化运营思路及其实践
简介: 数据中台前端研发无不让人厚重真实地感受到"唯一不变的是变化".拿集团的数据资产服务平台来说,业务上经过两年的发展,已由单一的数据管理和使用平台发展成了集团具有一定规模和影响 ...
- 某游戏公司基于OceanBase 4.0的运营分析AP实践
本文转载自:OceanBase 社区 作者简介:黄友鹏,现就职于深圳某游戏公司,是一名Java开发,主要负责公司的业务调优和故障处理,熟悉MySQL,近年来研究分布式数据库. 导语:一家运营海外休闲游 ...
- 活动运营自动化平台实践
人人贷活动运营平台,是一个由人人贷大前端团队进行开发和维护,并用于自动化.可视化构建人人贷常规活动的系统.本文将会分享"人人贷活动运营平台"的设计思想和部分技术实现,希望对大家有所 ...
- 途牛原创|基于EAV模型的运营系统架构实践
序 本文将介绍如何基于 EAV 模型,来构造一个准自动化的运营系统,服务运营研发部的相关工作. 我们的痛点 运营研发部对接三端(PC.M.APP)后台工作,劳心劳力... 头疼的稀疏表( 稀疏表通常会 ...
- 用户运营指标体系建设实践 by 千冰仪
一.用户运营做什么? 企业的生存和发展的根本是用户,用户的规模和增速可以决定一个公司的生死存亡.所以,各行各业,不管在做什么业务,都绕不开对用户的运营.今天主要讲讲,对于电商行业,用户运营主要做什么, ...
- 消息推送——产品运营不可或缺的用户触达方式
如何及时地告诉正在筹备旅游计划的用户,去往某地的机票有优惠活动? 如何快速准确地将NBA的最新动态告知到热爱篮球的用户? -- 如何让你的用户觉得你更懂TA?--"推送" ...
- 跨境电商亚马逊 速卖通 阿里国际 shopee 运营策略与实践
随着全球化和互联网的发展,跨境电商已经成为企业拓展海外市场的重要手段.然而,跨境电商的运营并非易事,需要对产品.市场.物流.付款.客户服务等方面进行全方位的考虑和规划.以下是一些关于如何运营跨境电商的 ...
- 什么是 DevSecOps?2022 年的定义、流程、框架和最佳实践
DevSecOps 是一套实用且面向目标的方法,用于确保系统安全.DevSecOps 被定义为通过与 IT 安全团队.软件开发人员和运营团队合作,在标准 DevOps 周期中建立关键安全原则的过程.以 ...
最新文章
- 文件流处理流式处理大数据处理
- H1标签对网站优化有什么作用?
- 1_HDFS理论及安装部署
- Python基础教程:list和tuple
- C++ Opengl纹理贴图源码
- POJ 3694 Network ★(边双连通分量+并查集缩点+LCA)
- React Native ScrollableTabView的自定义tabBar
- AtCoder Regular Contest 061 E - Snuke‘s Subway Trip(建图 + dijkstra最短路 / 0/1bfs / 并查集)
- 使用TortoiseGit(小乌龟)操作分支的创建
- windows7快捷键
- java中 Double和double区别
- mysql 30入门_mysql入门(三)
- 孔浩javacript基础笔记一
- 微信小程序位置定位php,【微信开发】微信小程序通过经纬度计算两地距离php代码实现...
- 无需软件网页星号密码查看
- <数据结构>停车场管理系统,利用栈和队列实现,包含纯c语言版和C++版的全注释源码
- Quorum工作原理
- 视频教程-线上培训上课实录整站设计制作开发全能培训-HTML5/CSS
- Dapp开发实战:去中心化NFT交易平台
- 真是无语二手房可以这样逃税